UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA DE OCCIDENTE DEPARTAMENTO DE INGENIERA Y ARQUITECTURA

VLANS

CTEDRA: COMUNICACIONES I CATEDRTICO : ING. JUAN CARLOS PEA MORN PRESENTADO POR : GMEZ ARVALO , JACQUELINE STEPHANIE MORN MONZN , LUIS ANTONIO URQUILLA CAMPOS, EDWIN ALBERTO JUEVES 29 DE NOVIEMBRE DE 2012.

C ONTENIDO
Planteamiento del Problema........................................................................................................................................... 2 VLAN............................................................................................................................................................................................ 3 Que es FreeRADIUS? ......................................................................................................................................................... 4 VMPS (VLAN Management Policy Server) ............................................................................................................... 5 802.1X ......................................................................................................................................................................................... 5 EAP ............................................................................................................................................................................................... 5 Configuraciones ..................................................................................................................................................................... 6 Otras Lecturas de Inters ...............................................................................................................................................12

P LANTEAMIENTO DEL P ROBLEMA

Debido a la llegada de una nueva cadena de supermercados al pas, una empresa productora de alimentos se ha visto en la necesidad de expandirse para satisfacer la creciente demanda de mercado. Esto ha llevado a que su infraestructura de red crezca a la misma velocidad que sus operaciones comerciales, saturando las redes locales y creando nuevas redes en las nuevas oficinas que se han aperturado en todo el pas. Este crecimiento se ha realizado AD-HOC y los administradores de IT se han dado cuenta que la red se ha vuelto difcil de administrar, por lo que se embarcan en un proyecto de reestructuracin completa de la red, pero buscando centralizar la gestin de la misma en la medida de lo posible. Uno de los factores claves para el xito es la contencin de trfico y la separacin de redes. Luego de una discusin acerca del tema se llegaron a dos ideas: 1) mantener una VLAN que se propague a travs de toda la red fsica que permita administrar la red misma. 2) Brindar acceso a cada computadora basndose en su direccin fsica, y as sin importar desde el lugar donde se conecte en el campus, se garantiza que siempre se le asignar a la misma red.

Comunicaciones I - VLANS

Pgina 2

VLAN
Una VLAN (acrnimo de virtual LAN, red de rea local virtual) es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en un nico conmutador fsico o en una nica red fsica. Son tiles para reducir el tamao del dominio de difusin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local (como departamentos de una empresa) que no deberan intercambiar datos usando la red local (aunque podran hacerlo a travs de un enrutador o un conmutador de capa 3 y 4). Una VLAN consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados fsicamente a diferentes segmentos de una red de rea local. Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se traslada fsicamente algn ordenador a otra ubicacin: puede permanecer en la misma VLAN sin necesidad de cambiar la configuracin IP de la mquina.

VLANS DINMICAS

Estas VLANs estn asignadas de acuerdo a una direccin MAC se puede asociar un puerto no asignado del switch a la VLAN que se considere, dicho de otro modo la VLAN se asigna de acuerdo a un requisito previo y no a un puerto en especfico, se crean en base a datos centralizados. Conviene cuando hay muchos cambios, la nica desventaja es que es muy complejo. El uso de las VLANs nos facilita muchas cosas en cuanto a flexibilidad y escalabilidad, al crear una VLAN, esencialmente se estn creando dominios de broadcast. Es decir, el broadcast causadas por equipos defectuosos y por aplicaciones que generan broadcast para toda la red. Si una vlan tiene pocos usuarios, tendr poco broadcast. Las VLANs se pueden organizar por comunidades de usuarios con intereses comunes. Las diferencias entre VLANs estticas y dinmicas como bien su nombre lo dice es que las estticas son asignadas a un puerto en especfico y las dinmicas son asignadas mediante un criterio especfico normalmente por MAC.

Comunicaciones I - VLANS

Pgina 3

QUE ES FREERADIUS?
Los ataques desde la red interna son peligrosos y ms difciles de prevenir que los ataques externos. Un atacante que se conecte en una red interna con un porttil se beneficia de nuestro ancho de anda para el acceso a la red de datos. Una forma de prevenir un ataque es implementar una funcin de autenticacin en la Capa 2 del modelo OSI usando el protocolo 802.1X. Un switch habilitado con 802.1X y un servidor Freeradius es todo lo que se necesita para implementar la autenticacin en la Capa 2. Ya que la autenticacin de la Capa 2 opera en el nivel local, la red fsica, se evita que los intrusos utilicen la red fsica sin autenticarse. Las respuestas Radius (Remote Authentication Dial-in-User Service Protocol) desde un servidor Linux suelen incluir la direccin IP y el gateway estndar para el usuario, pero el protocolo tiene ms potencial. Puede usar un servidor Radius para asignar una VLAN al puerto del switch del usuario. Esta tcnica evita la necesidad de una infraestructura compleja de router, pero sigue restringiendo el tamao del dominio de broadcast. Adems, las VLANs se pueden usar para separar departamentos de una compaa de manera lgica, mejorando la seguridad al mismo tiempo. Aunque los usuarios pueden conectarse desde cualquier sitio en el que se encuentren (desde el bar por ejemplo), siempre vern su propio entorno de red. El protocolo estndar 802.1X maneja la autenticacin y el servidor Freeradius se proporcionan los servicios AAA (Autenticacin, Autorizacin y Arqueo). El servidor Freeradius accede al directorio del servidor OpenLDAP para obtener informacin de las cuentas. El sistema completo est disponible tanto para clientes Linux como Windows. Soporta capas redundantes para alta-disponibilidad utilizando proxies para Radius y replicacin de directorios para la base de datos LDAP. La solucin completa tambin puede aplicarse a la seguridad de la WLAN, y los administradores pueden beneficiarse de las opciones de contabilidad (arqueo, estadsticas.) del servidor Radius.

Comunicaciones I - VLANS

Pgina 4

VMPS (VLAN MANAGEMENT POLICY SERVER)

Es un mtodo para asignar puertos de un switch a redes virtuales especficas de acuerdo a la direccin MAC del dispositivo que busca acceso a la red. En modo VMPS, un switch compatible con VMPS detecta una nueva PC y crea una peticin VMPS pidiendo autorizacin de FreeNAC, el cual revisa en su base de datos y permite o niega el acceso a la red basandose en la direccin MAC. El switch se encarga de respaldar la decisin tomada por FreeNAC y niega acceso o en caso contrario, coloca el dispositivo de manera dinmica en su red virtual por defecto.

802.1X
El protocolo IEEE 802.1X proporciona control de acceso en la Capa 2 de OSI (la Capa MAC). IEEE 802.1X soporta la autenticacin de clientes mientras se establece la conexin a la red, antes de que al cliente se le asigne una direccin IP va DHCP (Dynamic Host Configuration Protocol). 802.1X est disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que estn equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores estn implementando 802.1X en puntos de acceso inalmbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticacin es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticacin slo del cliente o, ms apropiadamente, una autenticacin mutua fuerte utilizando protocolos como EAP-TLS.

EAP
Extensible Authentication Protocol (EAP) es una autenticacin framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para autenticacin en redes cableadas, es ms frecuentemente su uso en las primeras. Recientemente los estndares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticacin.
Comunicaciones I - VLANS Pgina 5

C ONFIGURACIONES
CONFIGURANDO VLANS DINMICAS BASADOS EN LA MAC DEL DISPOSITIVO
Objetivos Los objetivos a cumplir son los siguientes: Utilizacin de una VLAN administrativa para permitir la administracin de la red. Brindar acceso a una VLAN especifica a cada dispositivo basndonos en su direccin fsica sin importar en donde es conectado en la red.

Equipo Para la configuracin del escenario se utilizara el siguiente equipo Switch Cisco Catalyst 3500 Servidor Debian con FreeRadius y el modulo mac2vlan habilitado Dispositivos cliente, pueden ser desde estaciones de trabajo hasta telfonos VoIP

Realizando la configuracin Configurando Switch - Cisco Catalyst 3500 Para configurar el switch cisco utilizamos un cable serial para conectarnos a la lnea de comandos En esta utilizamos el comando enable para habilitarla y configure para entrar en el modo de configuracin del switch. Dentro del modo de configuracin del switch debemos de asignarle una ip que aplique dentro de la VLAN a utilizar como administrativa, en este caso utilizaremos la VLAN 1, esto lo realizamos por medio de los siguientes comandos interface vlan 1 - con el cual seleccionamos la VLAN en la cual asignaremos la IP ip address 10.90.90.90 255.0.0.0 - Ingresamos una ip para el switch y una mascara de red exit Salimos de la seccin para configurar la interfaz
Comunicaciones I - VLANS Pgina 6

Luego configuramos la ip del servidor vmps, en este caso utilizaremos un servidor freeradius con el modulo mac2vlan, aunque puede ser cualquier otra implementacin de VMPS. Para introducir la ip del servidor en el switch utilizamos el comando vmps server 10.90.90.91 en este caso la ip 10.90.90.91 es la del servidor VMPS.

Como siguiente paso creamos las VLANS a las cuales van a ser asignados los dispositivos, lo realizamos utilizando los comandos vlan database Nos permite ingresar a las configuraciones de las VLAN vlan 10 name ventas Agregamos VLAN con id 10 y nombre ventas vlan 20 name compras Agregamos VLAN con id 20 y nombre compras vlan 30 name invitados Agregamos VLAN con id 30 y nombre invitados exit Salimos de la configuracin de VLANS y los puertos para que puedan ser asignados dinmicamente y el/los que van a ser utilizados como VLAN 1 para conectar el servidor VMPS. Configuramos los puertos a asignar dinmicamente con el siguiente comando set port membership [puerto] dynamic Permite la asignacin dinmicas de VLANS Luego de configurado el Switch necesitamos configurar el servidor VMPS en este caso Freeradius y mac2vlan.

Configurando freeradius y mac2vlan Para el uso de VMPS sobre freeradius no se requiere mas que habilitar el modulo mac2vlan y la creacin de un archivo de configuracin que contenga la asociacin MAC, VLAN; de forma alternativa se puede tambin utilizar almacenamiento en una base de datos SQL o un servicio de directorio como LDAP. Primero procedemos a instalar freeradius, por ejemplo en una distribucin basada en ArchLinux podemos utilizar: # pacman -S freeradius
Comunicaciones I - VLANS Pgina 7

Al finalizar la instalacin podremos encontrar los archivos de configuracin del freeradius dentro de la carpeta /etc/raddb/ Los archivos a tomar en cuenta para esta configuracin son los siguientes: ./clients.conf ./sites-available/vmps ./sites-enable/vmps ./mac2vlan Como primer paso, para activar el modulo vmps en freeradius, copiamos el archivo desde ./sites-available/vmps a ./sites-enable/vmps . Dentro del archivo ./sites-enable/vmps quitamos el comentario de la lnea mac2vlan y procedemos a crear un archivo llamada mac2vlan dentro del directorio /etc/raddb/ En el archivo creado se deben de ubicar las mac y las vlan de la siguiente manera:

f4:6d:04:22:97:64,Ventas 54:42:49:ee:c7:30,Ventas 00:26:6c:c5:dd:62,Ventas 00:24:e8:a1:c8:06,Compras Con la mac y separada por una coma el nombre de la VLAN a la que debe ser asignado el dispositivo.

Desventajas del uso de VMPS El uso de VMPS esta desaconsejado por varias razones entre ellas que es un protocolo propietario de cisco y este ha dejado de soportarlo en nuevos dispositivos, esto lo hace difcil de implementar cuando se cuenta con dispositivos de marcas mixtas y proyectarlo a futuro, en la investigacin se encontraron algunas alternativas entre estas sobresala el uso de 802.1x en conjunto con Mac Authentication Bypass (MAB) que permite a los dispositivos clientes con suplicantes compatibles con 802.1x autenticarse utilizando credenciales como certificados/llaves/password y a clientes sin suplicantes autenticarse con la mac de sus interfaces de red.
Comunicaciones I - VLANS Pgina 8

FREERADIUS Y EAP PARA AUTENTICACIN POR USUARIO

Objetivos Mantener una VLAN administrativa, que se encargue de asignar a una vlan cada host que se autentique. Enviar a una VLAN de invitado, a aquellos hosts que no se puedan autenticar. Autenticar el host con el servidor Radius a travs de un nombre de usuario y contrasea.

Equipo Servidor FreeRadius Switch Cisco F200-24 Host con una configuracin de suplicante wpa.

Configuraciones Para descargar FreeRadius, desde cualquier Linux basado en debian, deber abrir una terminal y escribir desde consola: sudo apt-get install freeradius Se debern configurar los archivos: /usr/local/etc/raddb/clients.conf /usr/local/etc/raddb/users /usr/local/etc/raddb/sites-enable/default

En el archivo clients.conf se deber configurar y aceptar el cliente del cual recibir las peticiones el servidor; para agregar un cliente, ser necesario agregar las siguientes lneas en el archivo: client 192.168.1.254 { secret shortname }

= yourkey = mynet

Comunicaciones I - VLANS

Pgina 9

En donde yourkey deber ser la clave que se le asigna al cliente y mynet un nombre preferido para el cliente. Con esto, permitiremos que el Servidor FreeRadius se comunique con un autenticador, que para el caso particular es un switch Cisco. Para configurar los usuarios a los cuales se les permitir la autenticacin, se debe modificar el archivo users y agregar los usuarios y los parmetros que los mismos debern tener y aceptar; para agregar al usuario user, se agrega al final del archivo: user Cleartext-Password := "user" Auth-Type := EAP, Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-ID = 1

Tunnel-Type se refiere al tipo de tnel que se usar, para el caso, ser VLAN. TunnelMedium-Type que indica el soporte para los estndares IEEE 802 y sus derivados y Tunnel-Private-Group-ID que indica la VLAN a la cual pertenecer el usuario. En el archivo /sites-enabled/default se descomentarn las siguientes lneas, las cuales nos permitirn autenticar con el protocolo: Auth-Type eap { eap { handled = 1 } if (handled && (Response-Packet-Type == Access-Challenge)) { attr_filter.access_challenge.post-auth handled # override the "updated" code from attr_filter } } } Configurando un Suplicante Para que el host al conectarse pueda hacer una peticin de conexin, es necesario que ste cuente con un servicio de Suplicante WPA, en las distribuciones de Linux ms recientes, ste es manejado por el servicio de redes Network-Manager y en las distribuciones Windows ms recientes, solamente se debe configurar el servicio para que ste se inicie automticamente.
Comunicaciones I - VLANS Pgina 10

Para activar el suplicante en distribuciones Linux es necesario buscar las preferencias de red y seleccionar la red cableada, activar las opciones de 802.1x Security, en el cual se debe activar el protocolo PEAP, asignar un usuario y una contrasea; el mismo usuario y contrasea que se defina aqu ser necesario definirlo en el archivo users, que se consider anteriormente. En distribuciones Windows, se inicia el servicio Configuracin Automtica de Redes Cableadas y Servicio; se configura la red, en Centro de Redes y Recursos Compartidos, se debe configurar la configuracin del adaptador, en la pestaa de Autenticacin, habilitar la Opcin Habilitar Autenticacin de IEEE 802.1x, adems habilitar la casilla de Especificacin de modo de Autenticacin y seleccionar las credenciales.

Comunicaciones I - VLANS

Pgina 11

OTRAS LECTURAS DE INTERS

Wiki FreeRadius http://wiki.freeradius.org

Cisco Page VLAN Membership Policy Server (VMPS) / Dynamic VLANs http://www.cisco.com

Linux WPA/WPA2/IEEE 802.1X Supplicant http://hostap.epitest.fi

Manual de Switch Cisco F200-24 http://www.cisco.com/en/US/docs/switches/lan/csbss/sf20x_sg20x/administration _guide/OL-22849-01.pdf

Gua de Switch Cisco Catalyst 3500 http://www.cisco.com/en/US/products/hw/switches/ps637/tsd_products_support_ configure.html

Comunicaciones I - VLANS

Pgina 12